Hallo Take,

HttpOnly war das richtige Stichwort! Hab gleich in mein Firebug geschaut und siehe da, das Session-Cookie ist entsprechend markiert.

Da kann ich ja lange probieren es mit Javascript auszulesen.

Wenn die ganzen XSS-Hacker ebenfalls Probleme damit haben, dann ist ja gut.

Viele Grüße
Max Smily